Auditsec运维操作审计平台白皮书.docx
《Auditsec运维操作审计平台白皮书.docx》由会员分享,可在线阅读,更多相关《Auditsec运维操作审计平台白皮书.docx(24页珍藏版)》请在冰豆网上搜索。
Auditsec运维操作审计平台白皮书
Auditsec运维操作审计平台
(白皮书)
目录
一.安全现状分析5
1.1安全隐患5
1.1.1安全风险分析5
1.1.2严格分权管理问题6
1.2SOX(萨班斯法案)与IT运维管理6
二.AUDITSEC安全审计系统产品优势7
2.1超强的规范管理能力8
2.2最细粒度的审计查询功能8
2.3“零”影响部署9
三.AUDITSEC安全审计系统功能介绍9
3.1AUDITSEC安全审计系统理念9
3.1.1可视10
3.1.2可控10
3.1.3可管理10
3.1.4可跟踪10
3.1.5可鉴定10
3.2AUDITSEC安全审计系统应用10
3.2.1内部网络行为管理11
3.2.2对网络边界网关设备的管理11
3.3产品采用的关键技术11
3.3.1程序重用与控制技术11
3.3.2逻辑命令自动识别技术12
3.3.3分布式处理技术12
3.3.4实时监控技术12
3.3.5日志转储技术12
3.3.6加密传输技术12
3.3.7多进程/线程与同步技术13
3.3.8自动报表生成技术13
3.4AUDITSEC安全审计系统功能13
3.4.1产品组件13
3.4.2细粒度策略控制功能13
3.4.3准确日志查询检索功能14
3.4.4菜单类操作回放审计功能15
3.4.5密码代填15
3.4.6帐号密码的安全管理15
3.4.7标准Radius认证接口16
3.4.8扩展命令17
3.4.9FTP/SFTP文件安全传输17
3.4.10跳转登录操作的智能审计18
3.4.11支持标准SYSLOG日志18
3.4.12图形操作审计18
3.4.14双机热备20
3.4.15服务器集群20
3.4.16操作“现场回放”21
3.4.17数据库的安全审计22
3.5AUDITSEC安全审计系统应用22
3.5.1安全管理ISO1779922
3.5.2IT运维管理ITIL22
3.5.3IT内控和SOX/COBIT23
四.AUDITSEC安全审计系统典型部署模型23
4.1网关方式部署23
4.2服务器方式部署24
一.安全现状分析
当前随着信息技术的发展和信息化建设的高速推进,业务应用、办公系统的不断开发和投入运行。
而支撑这些系统的运行平台Unix/Linux/windows主机被广泛应用,在电信运营商、财税、公安、金融、电力、大型公司和著名门户网站,更是使用数量众多的Unix/Linux/windows主机来运行关键业务,提供电子商务、数据库应用、运维管理、ERP和协同工作群件等等的服务。
1.1安全隐患
由于缺乏相应的先进工具和手段,企业无法保证系统管理员严格按照规范来进行管理,如无法保证系统管理员的真实管理行为/管理报告和规章制度要求一致,造成企业网络及服务器常处于不可信、不可控、不可视状态。
面对系统和网络安全性、IT运维管理和IT内控外审的挑战,管理人员需要有效的技术手段,按照行业标准进行精确管理、事后追溯审计、实时监控和警报。
如何提高系统运维管理水平,满足相关标准要求,防止黑客的入侵和恶意访问,跟踪服务器上用户行为,降低运维成本,提供控制和审计依据,已经成为越来越困扰这些企业的问题。
安全风险分析
Ø数据库管理员或第三方开发人员远程对数据库的操作和命令
用户登录系统,执行Oracle、SQLServer、DB2、INFORMIX、Sybase、Mysql等命令,容易产生数据库破坏,所有的这些操作需要被跟踪和限制。
Ø大型集中应用环境不易统一监控、管理和快速响应
对于大型应用环境,网络管理员要管理和配置大量UNIX/LINUX/windows服务器,大量事故响应,管理人员不堪重负。
Ø无法提供对网络通信设备的操作,修改等行为审计
网络通信设备常常在UNIX/LINUX系统上通过ssh远程登录进行管理,对网络通信设备的操作无法审计,埋下安全隐患。
Ø网络管理人员需要统一的手段,对服务器组进行安全保护
网络管理人员常用防火墙,IDS等设备,针对网段进行隔离和操作限制,因此,网络管理人员需要不同手段,对外网/内网用户应用不同安全保护策略,应用和实施麻烦,容易疏忽造成隐患。
Ø服务器及其集群的运行状态监控已及性能调控
现有服务器监控软件基本上都是单机、单服务器方式运行,需要高素质管理人才进行管理。
将服务器状态信息集中化,发现企业服务器运行状态及瓶颈,成为应用比较急切和关心的问题。
严格分权管理问题
Ø严格分权管理属于多用户多账号管理方式,用户在自己权限下生产和工作,但是,由于生产的特殊性,常常需要用户具有ROOT账户权限。
这就造成生产和管理的矛盾,临时ROOT权限分发可以解决ROOT权限生产问题,但是,这极大增大管理的复杂性和不安全性,稍有疏忽,就可能造成管理的混乱。
不分发ROOT权限,可能导致生产不能正常进行,至少影响生产效率。
Ø现有操作系统存在许多安全隐患,暴力破解、溢出攻击、社会工程等攻击方式,都可能使普通用户或者黑客获取ROOT账户权限,进而执行普通用户权限外的操作,产生破坏。
Ø严格分权管理管理负担比较重,管理员要对权限的分配和服务器上行为负责,同时,用户在服务器上行为对管理员来说不可视,不可审计,出现问题,没人负责。
1.2SOX(萨班斯法案)与IT运维管理
SOX是Sarbanes-OxleyAct简称,正式名为PublicCompanyAccountingReformandInvestorProtectionActof2002。
于二零零二年由总统布什通过成为法例。
此法案针对当年一连串上市公司(Enron、ArthurAndersen、WorldCom等)的财务丑闻而立。
它为在美上市公司内部财务的管理定下了一些规范,以保障投资者和公司职员。
因为,企业的经营活动,企业管理、项目和投资基本建立在IT基础之上,以下两点就显得格外重要。
如图1.2
Ø302节:
要求行政人员证明他们公司设计和执行了适当的控制,以保证所有财务报表都可靠而且付合公认会计准则(GAAP)。
Ø404节:
要求所有在302节中所控制的过程都有可信的财务报表。
这法令要求IT经理对所有有关财务报表的产生过程负责。
404节规定外国在美的上市公司必须在零五七月十五日前完成有关的更改,零五三月美国证券交易委员会将这死线推迟了一年至零六年七月十五日。
ITIL是InformationTechnologyInfrastructureLibrary的缩写,最早由英国商务部开发,是为了应对行业不断增长地对IT服务的要求,提供IT管理最佳实践。
ITIL融合全球最佳实践,是IT部门用于计划、研发、实施和运维的高质量的服务准则,是目前全球IT服务领域最受认可的系统而实用的结构化方法。
全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT服务的效率和沟通,大量的成功实践表明实施ITSM可以提高IT部门营运效率25-300%。
ITIL自1980年代开始发展,经过行业专家、顾问和实施者的共同努力,已经成为IT服务管理领域最佳实践事实上的国际标准。
ITIL可以与ISO9001兼容,提供IT组织服务质量。
二.AUDITSEC安全审计系统产品优势
AUDITSEC安全审计系统是上海柏安信息技术有限公司,经过长时间的技术积累和攻关研发,推出针对UNIX服务器安全管理、审计,业界领先并且拥有自主知识产权的一款产品。
AUDITSEC安全审计系统主要用于服务器系统安全防护,让服务器的操作、管理和运行更加可视、可控、可管理、可跟踪、可鉴定,解决服务器系统级别的安全问题、安全威胁,为国家重要部门和企业服务器的正常有序运行,提供可靠的安全保障。
另外,也可以对网络设备,安全设备等各种IT设备进行操作行为管理。
2.1超强的规范管理能力
Ø可兼容管理所有支持(ssh/telnet、ftp标准协议)CLI命令方式管理的设备。
Ø对高危命令的操作系统将实时阻断或给予警告(可手机短信通知信息主管人员)。
Ø对授权用户的命令操作实时全程监控。
Ø对第三方厂商程序开发人员、系统维护人员、数据库管理人员等多种角色进行身份的认证及操作监控。
Ø规范用户操作习惯(防止授权用户的误操作、无用操作)。
Ø全方位的主机信息安全保障,可以制定严格的策略和用户权限的分配做到事前预防,事中危险操作的实时阻断,事后的责任认定。
2.2最细粒度的审计查询功能
Ø用户可根据具体的操作命令、用户名、时间、IP地址等8个条件任意组合查询、定位操作日志。
Ø对菜单向导类操作的智能审计并可对其操作过程实时的历史回放。
Ø对共用帐号的操作进行全记录全审计(如:
对多个拥有root权限的操作人员做强身份识别)。
Ø对用户在服务器间的跳转登录的全记录,每个跳转动作单独生成一个Session。
2.3“零”影响部署
Ø不影响任何业务数据流。
Ø设备的部署不更改现有的网络拓扑。
Ø不增加系统和网络性能的负载。
Ø部署方式灵活多样,适合任何构架的网络环境.部署周期短。
Ø不改变管理员操作习惯(不需要安装客户端工具)。
三.AUDITSEC安全审计系统功能介绍
3.1AUDITSEC安全审计系统理念
柏安咨询产品安全管理理念
3.1.1可视
AUDITSEC安全审计系统能够动态实时的捕获UNIX系统用户使用的操作命令,真正做到让UNIX服务器上的操作和行为可视。
系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果,结束UNIX服务器操作管理的黑匣子时代。
AUDITSEC安全审计系统可以实时监控系统管理员操作过程,提供实时监控中心和值班中心,可以集中实时的监控所有用户的操作行为和过程。
3.1.2可控
AUDITSEC安全审计系统动态实时的捕获系统管理员操作行为,并可以对其进行策略审计,违反安全策略的用户命令,将被禁止执行,使用危险命令的用户,将被剔出系统。
这样,UNIX服务器将增加一层安全防护功能,即使用户(恶意用户、黑客)取得命令的操作权限,该命令也不能生效,进而保护UNIX服务器上关键资源和重要服务。
3.1.3可管理
AUDITSEC安全审计系统可以根据需要对指定用户或所有用户展开监控,可以限制和管理可疑用户行为,真正让UNIX服务器摆脱操作和使用的黑匣子状态,监控和管理UNIX服务器上用户操作行为。
3.1.4可跟踪
AUDITSEC安全审计系统通过远程日志服务器保存所有用户操作行为和运行结果,可以通过对用户操作行为及其结果进行回放,跟踪用户在服务器上的操作过程,查看用户在服务器上的所有操作行为,准确无误的了解用户的行为意图。
AUDITSEC安全审计系统日志服务器提供日志动态查询功能,支持特色化报表生成功能,可以根据用户环境进行报表定制,及时直观的报告用户所关心的资源使用情况。
3.1.5可鉴定
AUDITSEC安全审计系统使用二次日志记录系统,保存用户操作行为过程。
日志文件不可修改,不可杜撰,通过对用户操作行为日志的分析,可以鉴定用户行为,并进行责任认定。
二次日志记录加强了原始日志材料的防伪防杜撰功能,通过对比保存于两台日志服务器上的日志材料,可以准确可靠的进行故障鉴定和责任认定。
3.2AUDITSEC安全审计系统应用
AUDITSEC安全审计系统非常适合于企事业加强对UNIX服务器的安全管理,减轻和防止企事业的UNIX系统安全级别威胁。
AUDITSEC安全审计系统应用领域非常广阔,产品多种部署方式,可以非常灵活的兼容于企事业现有安全架构。
3.2.1内部网络行为管理
严重的攻击来自系统内部(75%来自内部攻击),AUDITSEC安全审计系统主要应用于内部用户行为管理,保证内部用户的操作和行为可控、可视、可管理、可跟踪、可鉴定,防止内部人员对机密材料的非法获取和使用,保护企事业核心机密。
3.2.2对网络边界网关设备的管理
网络边界安全设备是企事业网络安全防护系统的重要组成部分,网络边界安全设备的安全策略,对企事业内部网络安全,起着非常重要的作用。
AUDITSEC安全审计系统可以记录管理员对这些安全设备的配置过程,保证安全策略的一致性,其生成的日志系统,可以比较方便的集成到企事业现有安全策略管理架构中。
对黑客行为的防范
黑客常常通过手段(如:
社会工程、恶意程序、系统设置漏洞、缓冲区溢出程序等)获取用户权限,然后使用该权限登陆系统。
AUDITSEC安全审计系统可以记录该黑客的操作过程,对于事后查证和数据恢复,有非常好的适用价值。
AUDITSEC安全审计系统还可以通过地址绑定功能对黑客行为进行限制,即使黑客取得系统权限,也不能对系统做任何操作。
3.3产品采用的关键技术
AUDITSEC安全审计系统采用系列先进技术,成功实现命令捕获与控制,为UNIX系统安全运行,提供强有力的武器。
3.3.1程序重用与控制技术
AUDITSEC安全审计系统采用先进的程序重用与控制技术,可以启用和控制任何UNIX程序。
通过程序重用与控制技术,可以完全利用现有程序的先进功能,避免重新开发,同时,在重用的过程中,可以控制重用程序的行为,实现新的功能需求。
如:
通过重用bash,可以实现对bash命令行的控制功能。
AUDITSEC安全审计系统控制被重用程序的输入与输出,再通过高效同步技术,完美重用和控制现成UNIX类程序,同时,对程序现有功能进行扩充,改变现有程序行为,增加现有程序功能。
该技术还可以进行自定义扩充,如:
截获数据、自动输入、隐藏或者改变输出等,达到自动控制程序运行效果。
3.3.2逻辑命令自动识别技术
AUDITSEC安全审计系统自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。
系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。
该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。
该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令,现在该技术已经申请专利。
3.3.3分布式处理技术
AUDITSEC安全审计系统采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上行为。
这种分体式设计有利于策略的正确执行和操作记录日志的安全。
同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。
各组件可以独立工作,可以分布于不同的服务器上,亦可所有组件安装于一台服务器。
3.3.4实时监控技术
AUDITSEC安全审计系统实现远程值班中心和实时监控中心,集团UNIX服务器运行状态监控可以实时进行。
实时监控中心直接和命令捕获引擎通信,避免日志服务器和策略服务器的运行负载,有利于系统实时性的提高。
3.3.5日志转储技术
AUDITSEC安全审计系统提供日志本地存储和异地存储,本地存储直接保存在本机上,异地存储是与专业存储设备对接实现异地存储功能,确保监控日志安全。
通过多种存储技术,实现日志冗余目的,解决了日志单一存储丢失的问题,为事故责任鉴定提供有力依据。
3.3.6加密传输技术
AUDITSEC安全审计系统所有组件之间采用安全连接技术,避免数据在传输过程中被监听,修改。
系统采用3-DES算法进行加密。
另外,系统还采用rc2和rc4等加密算法,实现日志的保密处理。
3.3.7多进程/线程与同步技术
AUDITSEC安全审计系统主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。
多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
3.3.8自动报表生成技术
AUDITSEC安全审计系统利用正则表达式,通过规则文件方式,实现WEB自动报表功能。
每个规则文件定义需要自动报告的特征和正则表达式,描述输出形式。
嵌入WEB服务器根据该规则文件,自动生成WEB报表。
自动报表技术可以产生一个数字的报告,如:
登陆用户数目统计,也可以产生长篇累牍的报表,其中,报表列数,报表标题,报表字段颜色等,都可以在规则文件内自定义。
3.4AUDITSEC安全审计系统功能
3.4.1产品组件
AUDITSEC安全审计系统由命令捕获引擎、策略服务器、日志服务器、用户接入和集中配置服务器等五大模块组成。
各模块之间相互关系如下图:
各模块处理关系
3.4.2细粒度策略控制功能
策略采用类防火墙策略,利用正则表达式进行模式匹配,符合通常使用习惯,支持对登陆地址、服务器地址、用户名、操作时间、操作命令等元素进行策略审计。
策略支持“非”逻辑。
控制策略定义
3.4.3准确日志查询检索功能
AUDITSEC安全审计系统提供了人性化的日志管理、查询功能。
管理人员可以根据:
用户命令、主机地址、主机帐号、时间范围等多项条件任意组合,进行快速、准确的日志定位查询。
日志查询
3.4.4菜单类操作回放审计功能
AUDITSEC安全审计系统支持AIX操作审计,IBM、HP等服务器操作系统,使用自身提供的集中管理工具管理服务器,这些管理工具基于图形菜单设计,审计“图形”菜单操作行为,方便后期管理查询和审计,是AUDITSEC安全审计系统的一大特色。
3.4.5密码代填
为了增加主机帐号密码安全,AUDITSEC安全审计系统提供密码代填功能。
在AUDITSEC安全审计系统WEB控制台上,管理员为每台主机资产添加帐号与密码。
用户通过二次跳转的方式登录目标主机进行操作,只要输入一次网关用户登录密码,然后选择目标资产编号和账号编号就完成目标主机登录任务,目标主机帐号密码对用户透明有效防止主机密码的泄漏,同时也方便了用户操作服务器。
密码代填
3.4.6帐号密码的安全管理
主机账号密码自动分发,自动根据固定时间和更新周期,更新目标主机账号密码,减少管理员工作量。
大型异构网络,密码管理成为管理员非常头痛的事情。
AUDITSEC安全审计系统可以自动根据管理员要求,定时或者周期更改远程主机相关账号密码,增大密码更新频度,避免密码长时间不变被泄露,造成安全隐患。
同时,系统支持密码推送结构邮件分发和密码管理员WEB下载功能(需要二次身份验证),最新密码副本可以安全的分发到管理员手中,避免密码丢失风险。
邮件服务设置
帐号动态密码设置
3.4.7标准Radius认证接口
AUDITSEC安全审计系统支持标准的Radius认证协议,能够很方便的和身份认证产品集成,提升产品安全性和扩展性。
用户认证配置
3.4.8扩展命令
用户操作服务器重复输入某些命令的情况时有发生,AUDITSEC安全审计系统针对这一情况提供了扩展命令功能,用户如要在某台服务器上重复执行命令集,只需将重复执行的命令添加到扩展命令表中,当用户通过二次跳转方式登录目标主机时,AUDITSEC安全审计系统对用户自定义命令集进行预处理。
扩展命令管理
3.4.9FTP/SFTP文件安全传输
为了提高安全性,在部署AUDITSEC安全审计系统后系统将断开操作用户与目标服务器之间的连接,为方便服务器的维护和文件传输的安全,柏安咨询推出两种文件传输方式,一种是FTP代理,一种是SFTP一站式传输,用户直接将文件通过AUDITSEC安全审计系统,将文件SFTP到目标主机,中间没有停留,直接到站。
整个使用FTP/SFTP方式传输文件的过程,都会被AUDITSEC安全审计系统实时完整的记录下来。
FTP/SFTP审计设置
3.4.10跳转登录操作的智能审计
用户行为跳转分析,每次跳转(TELNET、SSH方式登录目的服务器)会自动生成新的操作SESSION,方便管理员直接查询目标服务器上行为,支持多重嵌套跳转。
跳转分析可以方便用户行为跟踪,管理员可以直接查询目标服务器上发生的操作行为,节省管理员精力和时间。
3.4.11支持标准SYSLOG日志
支持标准SYSLOG日志输出,方便与第三方日志分析类产品集成整合,用户可以实时直观的在线监控服务器操作管理行为.SYSLOG输出事件包括:
用户登录事件、用户退出事件、用户操作命令、用户屏幕。
3.4.12图形操作审计
针对图形终端的远程操作,AUDITSEC安全审计系统推出特有的图形操作审计功能。
用户对Windows、Unix服务器的远程桌面操作全部集中登陆到AUDITSEC安全审计系统上,再通过二次跳转的方式对服务器进行远程操作,系统将根据用户的权限分配给用户可访问的资源,实现用户远程桌面操作强审计,且审计结果不可更改、不可杜撰。
用户使用柏安咨询RDP审计客户端连接AUDITSEC安全审计系统进行图形操作日志下载、播放,日志播放支持快进、暂停、播放点定位等功能,方便管理员追溯关键操作。
AUDITSEC安全审计系统支持图形界面操作审计包括:
RDP、X-WINDOW、VNC
RDP日志播放
X-WINDOW日志播放
3.4.14双机热备
随着业务数据重要性的增强,企业对网络系统运行的可靠性提出了更高的要求。
发生单点故障是用户不能容忍的,双机热备解决方案的出现免除了用户对单点故障的顾虑。
正常情况下主机处于工作状态,备机处于监控状态,主备之间监控使用“心跳线”和“参考地址”方式实现。
当主机出现故障时,备机主动接管主机的工作并自动升级为主机身份。
故障主机恢复正常后处于备机状态,不提供服务,只负责监控工作主机的状态。
当主机再次发生故障,备机同样主动接管主机的所有工作,保证服务的不间断运行,实现高可用性。
热备配置
3.4.15服务器集群
服务器集群功能的实现彻底缓解了单台服务器的工作压力,AUDITSEC安全审计系统采用分级部署实现集群管理功能。
集群中心负责所有配置和调度工作,其中包含监控的统一启用与停止以及为各节点分配管理资产,各节点负责提供实际的审计工作。
集群配置
3.4.16操作“现场回放”
服务器操作WEB播放功能可再现用户操作全过程,专门用来即时监控用户在服务器上操作行为,让管理员可以实时察看用户执行的命令、命令结果等。
可以用来监控第三方维护人员、普通用户在服务器、网关等设备上的操作,及时发现、阻断非法用户和授权用户的恶意操作行为。
用户操作WEB播放
WEB播放需要JAVA运行环境的支持。
3.4.17数据库的安全审计
运维和开发客户终端PC机,本身不需要安装SQLLUS、PL/SQL、OEMC(oracleenterprisemanagementconsole)的oracle客户端软件,也可以实现远程的通过IE浏览器,调用安全审计平台上的QLLUS、PL/SQL、OEMC(oracleenterprisemanagementconsole)oracle客户端软件。
用户通过自然人账号,登录Portal之后,选择安全审计平台上,自动账号和密码,用户可以自动登录到审计平台上,然后出现该用户所能够访问的服务器和设备列表,用户选择其中之一,例如:
选择了Oralce主机+IP,采用PL/SQL客户端登录oracle服务器,点击之后,可以自动登录oracle服务器上,然后在oracle的操作行为,都被记录下来,记录的格式有录像和命令。
3.5AUDITSEC安全审计系统应用
3.5.1安全管理ISO17799
AUDITSEC安全审计系统非常适合于企事业加强对UNIX服务器的安全管理,做到对服务器上行为的可视、可控
升级会员 